금융보안원 2019. 1. 제공
1.
클라우드서비스 제공자 평가
가. 「금융분야 클라우드컴퓨팅서비스 제공기준」에 따라 클라우드서비스 제공자를 평가하고, 그 결과에 따라 계약 추진 및 이용 여부를 최종 결정하여야 한다.
▶ 감독규정 제14조의2(클라우드컴퓨팅서비스 이용절차 등) 中
① 금융회사 또는 전자금융업자는 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하고자 하는 경우 다음 각 호의 절차를 수행하여야 한다.
2.
<별표 2의2>의 항목을 포함한 클라우드컴퓨팅서비스 제공자의 건전성 및 안전성 등 평가
|
또한, 고유식별정보 또는 개인신용정보를 처리하는 업무의 경우, 해당 정보를 처리하는 모든 시스템(해당 정보가 일시적으로 처리되는 시스템, 해당 정보가 처리되는 경우 관리시스템 포함)을 국내에 설치하여야 하고, 해당 전산실 내에 무선통신망이 설치되어있지 않아야 한다는 점을 고려하여 제공자를 선정한다.
나. 정보처리시스템 국내 설치 예외
개정된 감독규정 시행(’19.1.1.) 이전에 「금융회사의 정보처리 업무 위탁에 관한 규정」에 따라 정보처리 업무를 국외 소재 전산센터에 위탁하여 클라우드서비스를 이용하고 있는 경우 예외(감독규정 부칙 제2조).
전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미치지 않는 외국금융회사의 국내지점, 감독규정 제50조의2에 따른 국외 사이버몰을 위한 전자지급결제대행업자 (국내 설치 요건 및 무선통신망 설치 금지 예외).
▶ 감독규정 제14조의2(클라우드컴퓨팅서비스 이용절차 등)
⑧ 제2항의 절차를 거친 클라우드컴퓨팅서비스 제공자의 정보처리시스템이 위치한 전산실에 대해서는 제11조제11호 및 제12호, 제15조제1항제5호를 적용하지 아니한다. 다만, 금융회사 또는 전자금융업자 (전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미치지 않는 외국금융회사의 국내지점, 제50조의2에 따른 국외 사이버몰을 위한 전자지급결제대행업자는 제외한다)가 제3항제1호에 따른 고유식별정보 또는 개인신용정보를 클라우드컴퓨팅서비스를 통하여 처리하는 경우에는 제11조제12호를 적용하고, 해당 정보처리시스템을 국내에 설치하여야 한다.
|
2.
정보보호위원회 심의・의결
금융회사는 중요도 평가 결과, 자체 업무 위수탁 운영기준 및 클라우드서비스 제공자 평가 결과에 대해 정보보호위원회를 개최하여 심의・의결하여야 한다.
▶ 감독규정 제14조의2(클라우드컴퓨팅서비스 이용절차 등) 中
② 금융회사 또는 전자금융업자는 제1항에 따른 평가결과 및 자체 업무 위수탁 운영기준에 대하여 제8조의2에 따른 정보보호위원회의 심의・의결을 거쳐야 한다.
|
정회목 변호사
댓글 없음:
댓글 쓰기